Produk yang didukung dan batasan

Untuk informasi selengkapnya tentang Pengelola Infrastruktur, lihat dokumentasi produk.

Untuk menggunakan Workload Manager di perimeter Kontrol Layanan VPC:

• Anda harus menggunakan kumpulan pekerja pribadi Cloud Build untuk lingkungan deployment Anda di Workload Manager. Anda tidak dapat menggunakan kumpulan pekerja Cloud Build default.
• Kumpulan pribadi Cloud Build harus mengaktifkan panggilan internet publik untuk mendownload konfigurasi Terraform.

Untuk mengetahui informasi selengkapnya, lihat Menggunakan kumpulan worker pribadi Cloud Build dalam dokumentasi Workload Manager.

Untuk mengetahui informasi selengkapnya tentang Workload Manager, baca dokumentasi produk.

API untuk Google Cloud NetApp Volumes dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Google Cloud NetApp Volumes, lihat dokumentasi produk.

Google Cloud Search mendukung Kontrol Keamanan Virtual Private Cloud (Kontrol Layanan VPC) untuk meningkatkan keamanan data Anda. Kontrol Layanan VPC memungkinkan Anda menentukan perimeter keamanan di seputar resource Google Cloud Platform untuk menjaga data dan membantu mengurangi risiko pemindahan data yang tidak sah.

Untuk informasi lebih lanjut tentang Google Cloud Search, lihat dokumentasi produk.

API untuk Uji Konektivitas dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Uji Konektivitas, lihat dokumentasi produk.

Integrasi Uji Konektivitas dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Kontrol Layanan VPC mendukung prediksi online, tetapi tidak mendukung prediksi batch.

Untuk informasi selengkapnya tentang AI Platform Prediction, lihat dokumentasi produk.

API untuk AI Platform Training dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Pelatihan AI Platform, lihat dokumentasi produk.

Perimeter Kontrol Layanan VPC melindungi AlloyDB API.

Untuk mengetahui informasi selengkapnya tentang AlloyDB untuk PostgreSQL, lihat dokumentasi produk.

• Sebelum mengonfigurasi Kontrol Layanan VPC bagi AlloyDB untuk PostgreSQL, aktifkan Service Networking API.
• Saat Anda menggunakan AlloyDB untuk PostgreSQL dengan VPC Bersama dan Kontrol Layanan VPC, project host dan project layanan harus berada dalam perimeter layanan Kontrol Layanan VPC yang sama.

API untuk Vertex AI Workbench dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Vertex AI Workbench, lihat dokumentasi produk.

API untuk Vertex AI dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Lihat Colab Enterprise.

Untuk mengetahui informasi selengkapnya tentang Vertex AI, baca dokumentasi produk.

API untuk Vertex AI Vision dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Vertex AI Vision, lihat dokumentasi produk.

API untuk Colab Enterprise dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Colab Enterprise adalah bagian dari Vertex AI. Lihat Vertex AI.

Colab Enterprise menggunakan Dataform untuk menyimpan notebook. Lihat Dataform.

Untuk mengetahui informasi selengkapnya tentang Colab Enterprise, baca dokumentasi produk.

API untuk Apigee dan Apigee Hybrid dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Apigee dan Apigee Hybrid, lihat dokumentasi produk.

Untuk informasi selengkapnya tentang Analytics Hub, lihat dokumentasi produk.

API untuk Anthos Service Mesh dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Anda dapat menggunakan mesh.googleapis.com untuk mengaktifkan API yang diperlukan untuk Anthos Service Mesh. Anda tidak perlu membatasi mesh.googleapis.com di perimeter karena tidak mengekspos API apa pun.

• Pelajari cara mengonfigurasi cluster pribadi saat menginstal beberapa cluster di Anthos Service Mesh.
• Pelajari cara menambahkan layanan Anthos Service Mesh ke perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Anthos Service Mesh, lihat dokumentasi produk.

Perimeter layanan saat ini tidak didukung dengan Bidang Kontrol Terkelola Anthos Service Mesh.

Selain melindungi Artifact Registry API, Artifact Registry dapat digunakan di dalam perimeter layanan dengan GKE dan Compute Engine.

Untuk informasi selengkapnya tentang Artifact Registry, lihat dokumentasi produk.

API untuk Assured Workloads dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Assured Workloads, lihat dokumentasi produk.

Integrasi Assured Workloads dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Untuk mengetahui informasi lebih lanjut tentang AutoML Natural Language, baca dokumentasi produk.

Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Untuk informasi lebih lanjut tentang AutoML Tables, lihat dokumentasi produk.

Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Untuk mengetahui informasi lebih lanjut tentang AutoML Translation, lihat dokumentasi produk.

Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Untuk mengetahui informasi lebih lanjut tentang AutoML Video Intelligence, baca dokumentasi produk.

Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Untuk informasi lebih lanjut tentang AutoML Vision, lihat dokumentasi produk.

Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun, perimeter Kontrol Layanan VPC tidak diperluas ke lingkungan Solusi Bare Metal di ekstensi regional.

Untuk informasi selengkapnya tentang Solusi Bare Metal, lihat dokumentasi produk.

Solusi Bare Metal tidak mendukung Kontrol Layanan VPC. Menghubungkan VPC dengan kontrol layanan yang diaktifkan ke lingkungan Solusi Bare Metal Anda tidak menjunjung tinggi jaminan kontrol layanan apa pun.

Untuk informasi lebih lanjut tentang batasan Solusi Bare Metal terkait Kontrol Layanan VPC, lihat Masalah umum dan batasan.

API untuk Batch dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Batch, lihat dokumentasi produk.

API untuk BigLake Metastore dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang BigLake Metastore, lihat dokumentasi produk.

Integrasi Metastore BigLake dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Jika Anda melindungi BigQuery API menggunakan perimeter layanan, BigQuery Storage API, BigQuery Reservasi API, dan BigQuery Connection API juga akan terlindungi. Anda tidak perlu menambahkan API ini secara terpisah ke daftar layanan terlindungi perimeter Anda.

Untuk informasi selengkapnya tentang BigQuery, baca dokumentasi produk.

BigQuery Data Policy API dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang BigQuery Data Policy API, lihat dokumentasi produk.

Integrasi BigQuery Data Policy API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Perimeter layanan hanya melindungi BigQuery Data Transfer Service API. Perlindungan data aktual diterapkan oleh BigQuery. Didesain agar memungkinkan pengimporan data dari berbagai sumber eksternal di luar Google Cloud, seperti Amazon S3, Redshift, Teradata, YouTube, Google Play, dan Google Ads, ke dalam set data BigQuery. Untuk mengetahui informasi tentang persyaratan Kontrol Layanan VPC untuk memigrasikan data dari Teradata, lihat Persyaratan kontrol Layanan VPC.

Untuk mengetahui informasi selengkapnya tentang BigQuery Data Transfer Service, lihat dokumentasi produk.

BigQuery Migration API dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang BigQuery Migration API, lihat dokumentasi produk.

Integrasi BigQuery Migration API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Layanan bigtable.googleapis.com dan bigtableadmin.googleapis.com dipaketkan menjadi satu. Jika Anda membatasi layanan bigtable.googleapis.com dalam sebuah perimeter, perimeter akan membatasi layanan bigtableadmin.googleapis.com secara default. Anda tidak dapat menambahkan layanan bigtableadmin.googleapis.com ke daftar layanan yang dibatasi dalam perimeter karena layanan tersebut dipaketkan dengan bigtable.googleapis.com.

Untuk informasi selengkapnya tentang Bigtable, silakan baca dokumentasi produk.

Integrasi Bigtable dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Saat menggunakan beberapa project dengan Otorisasi Biner, setiap project harus disertakan dalam perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang kasus penggunaan ini, lihat Penyiapan multi-project.

Dengan Otorisasi Biner, Anda dapat menggunakan Analisis Artefak untuk menyimpan attestor dan pengesahan sebagai catatan dan kemunculan. Dalam hal ini, Anda juga harus menyertakan Analisis Artefak di perimeter Kontrol Layanan VPC. Lihat panduan Kontrol Layanan VPC untuk Analisis Artefak untuk mengetahui detail selengkapnya.

Untuk informasi selengkapnya tentang Otorisasi Biner, lihat dokumentasi produk.

Integrasi Otorisasi Biner dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Blockchain Node Engine dapat dilindungi oleh Kontrol Layanan VPC dan digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Blockchain Node Engine, lihat dokumentasi produk.

API untuk Certificate Authority Service dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Certificate Authority Service, lihat dokumentasi produk.

Untuk menggunakan Pengontrol Konfigurasi dengan Kontrol Layanan VPC, Anda harus mengaktifkan API berikut di dalam perimeter Anda:

• Cloud Monitoring API (monitoring.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)
• Google Cloud Observability API (logging.googleapis.com)
• API Layanan Token Keamanan (sts.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

Jika menyediakan resource dengan Pengontrol Konfigurasi, Anda harus mengaktifkan API untuk resource tersebut di perimeter layanan. Misalnya, jika ingin menambahkan akun layanan IAM, Anda harus menambahkan IAM API (iam.googleapis.com).

Untuk informasi selengkapnya tentang Pengontrol Konfigurasi, lihat dokumentasi produk.

Integrasi Pengontrol Konfigurasi dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk informasi selengkapnya tentang Data Catalog, lihat dokumentasi produk.

Integrasi Data Catalog dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Cloud Data Fusion memerlukan beberapa langkah khusus untuk melindungi penggunaan Kontrol Layanan VPC.

Untuk informasi lebih lanjut tentang Cloud Data Fusion, lihat dokumentasi produk.

API untuk Data Lineage API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Data Lineage API, lihat dokumentasi produk.

Integrasi Data Lineage API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Dukungan Kontrol Layanan VPC untuk Compute Engine menawarkan manfaat keamanan berikut:

• Membatasi akses ke operasi API yang sensitif
• Membatasi snapshot persistent disk dan image kustom ke perimeter
• Membatasi akses ke metadata instance

Dukungan Kontrol Layanan VPC untuk Compute Engine juga memungkinkan Anda memanfaatkan jaringan Virtual Private Cloud dan cluster pribadi Google Kubernetes Engine di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Compute Engine, baca dokumentasi produk.

Untuk menggunakan Contact Center AI Insights dengan Kontrol Layanan VPC, Anda harus memiliki API tambahan berikut di dalam perimeter, bergantung pada integrasi Anda.

• Untuk memuat data ke Contact Center AI Insights, tambahkan Cloud Storage API ke perimeter layanan Anda.

• Untuk menggunakan ekspor, tambahkan BigQuery API ke perimeter layanan Anda.

• Untuk mengintegrasikan beberapa produk CCAI, tambahkan Vertex AI API ke perimeter layanan Anda.

Untuk mengetahui informasi selengkapnya tentang Contact Center AI Insights, lihat dokumentasi produk.

Integrasi Contact Center AI Insights dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Dataflow mendukung sejumlah konektor layanan penyimpanan. Konektor berikut telah diverifikasi agar berfungsi dengan Dataflow di dalam perimeter layanan:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Untuk mengetahui informasi lebih lanjut tentang Dataflow, lihat dokumentasi produk.

• BIND kustom tidak didukung saat menggunakan Dataflow. Untuk menyesuaikan resolusi DNS saat menggunakan Dataflow dengan Kontrol Layanan VPC, gunakan zona pribadi Cloud DNS, bukan server BIND kustom. Untuk menggunakan resolusi DNS lokal Anda sendiri, pertimbangkan untuk menggunakan metode penerusan DNS Google Cloud.

• Penskalaan Otomatis Vertikal tidak dapat dilindungi oleh perimeter Kontrol Layanan VPC. Untuk menggunakan Penskalaan Otomatis Vertikal di perimeter Kontrol Layanan VPC, Anda harus menonaktifkan fitur layanan yang dapat diakses VPC.

• Jika Anda mengaktifkan Dataflow Prime dan meluncurkan tugas baru dalam perimeter Kontrol Layanan VPC, tugas tersebut akan menggunakan Dataflow Prime tanpa Penskalaan Otomatis Vertikal.

• Tidak semua konektor layanan penyimpanan telah diverifikasi berfungsi saat digunakan dengan Dataflow di dalam perimeter layanan. Untuk daftar konektor terverifikasi, lihat "Details" di bagian sebelumnya.

• Saat menggunakan Python 3.5 dengan Apache Beam SDK 2.20.0‐2.22.0, tugas Dataflow akan gagal saat startup jika pekerja hanya memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource. Jika pekerja Dataflow hanya dapat memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource, jangan gunakan Python 3.5 dengan Apache Beam SDK 2.20.0‐2.22.0. Kombinasi ini menyebabkan tugas gagal saat startup.

API untuk Dataplex dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Dataplex, lihat dokumentasi produk.

Dataproc memerlukan langkah khusus untuk melakukan perlindungan yang menggunakan Kontrol Layanan VPC.

Untuk mengetahui informasi lebih lanjut tentang Dataproc, baca dokumentasi produk.

Untuk melindungi cluster Dataproc dengan perimeter layanan, ikuti petunjuk jaringan Kontrol Layanan VPC dan Dataproc.

Dataproc Serverless memerlukan langkah khusus untuk melakukan perlindungan yang menggunakan Kontrol Layanan VPC.

Untuk mengetahui informasi selengkapnya tentang Dataproc Serverless untuk Spark, baca dokumentasi produk.

Untuk melindungi workload serverless Anda dengan perimeter layanan, ikuti petunjuk Jaringan Kontrol Layanan VPC dan Serverless Dataproc.

API untuk Metastore Dataproc dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi lebih lanjut tentang Dataproc Metastore, baca dokumentasi produk.

Integrasi Metastore Dataproc dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Datastream dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Datastream, lihat dokumentasi produk.

Integrasi Datastream dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Database Migration Service dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Database Migration Service, baca dokumentasi produk.

API untuk Dialogflow dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Dialogflow, baca dokumentasi produk.

API untuk Sensitive Data Protection dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Sensitive Data Protection, lihat dokumentasi produk.

API untuk Cloud DNS dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud DNS, lihat dokumentasi produk.

• Anda dapat mengakses Cloud DNS melalui VIP yang dibatasi. Namun, Anda tidak dapat membuat atau mengupdate zona DNS publik dalam project di dalam perimeter Kontrol Layanan VPC.

API untuk Document AI dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Document AI, lihat dokumentasi produk.

Integrasi Document AI dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Document AI Warehouse dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Document AI Warehouse, lihat dokumentasi produk.

Integrasi Document AI Warehouse dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Domains dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Domains, baca dokumentasi produk.

• Data kontak yang digunakan di Cloud Domains dapat dibagikan ke registry akhiran domain atau domain level teratas (TLD) dan mungkin dapat diakses secara publik untuk WHOIS/RDAP sesuai dengan setelan Anda, sesuai dengan aturan ICANN. Untuk mengetahui detailnya, lihat Perlindungan privasi.

• Data konfigurasi DNS yang digunakan di Cloud Domains—server nama dan setelan DNSSEC—bersifat publik. Jika domain Anda didelegasikan ke zona DNS publik, yang merupakan setelan default, data konfigurasi DNS zona tersebut juga akan bersifat publik.

Eventarc menangani pengiriman peristiwa menggunakan topik Pub/Sub dan langganan push. Untuk mengakses Pub/Sub API dan mengelola pemicu peristiwa, Eventarc API harus dilindungi dalam perimeter layanan Kontrol Layanan VPC yang sama dengan Pub/Sub API.

Untuk informasi selengkapnya tentang Eventarc, lihat dokumentasi produk.

Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:

• Eventarc terikat oleh batasan yang sama seperti Pub/Sub:
  • Saat mengarahkan peristiwa ke target Cloud Run, langganan push Pub/Sub baru tidak dapat dibuat kecuali endpoint push disetel ke layanan Cloud Run dengan URL run.app default (domain kustom tidak berfungsi).
  • Saat mengarahkan peristiwa ke target Workflows yang endpoint push Pub/Sub-nya disetel ke eksekusi Workflows, Anda hanya dapat membuat langganan push Pub/Sub baru melalui Eventarc.
  Dalam dokumen ini, lihat batasan Pub/Sub.
• Kontrol Layanan VPC memblokir pembuatan pemicu Eventarc untuk endpoint HTTP internal. Perlindungan Kontrol Layanan VPC tidak berlaku saat mengarahkan peristiwa ke tujuan tersebut.

API untuk Anti Money Laundering AI dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Anti Pencucian Uang AI, baca dokumentasi produk.

Integrasi Anti Money Laundering AI dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Saat Anda mengonfigurasi dan menukar token Firebase App Check, Kontrol Layanan VPC hanya melindungi layanan Firebase App Check. Untuk melindungi layanan yang mengandalkan Firebase App Check, Anda harus menyiapkan perimeter layanan untuk layanan tersebut.

Untuk mengetahui informasi selengkapnya tentang Firebase App Check, baca dokumentasi produk.

Integrasi Firebase App Check dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Saat Anda mengelola kebijakan Aturan Keamanan Firebase, Kontrol Layanan VPC hanya melindungi layanan Aturan Keamanan Firebase. Untuk melindungi layanan yang mengandalkan Aturan Keamanan Firebase, Anda harus menyiapkan izin layanan untuk layanan tersebut.

Untuk informasi selengkapnya tentang Aturan Keamanan Firebase, baca dokumentasi produk.

Integrasi Aturan Keamanan Firebase dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Baca dokumentasi Cloud Functions untuk mengetahui langkah-langkah penyiapannya. Perlindungan Kontrol Layanan VPC tidak berlaku untuk fase build saat Cloud Functions dibangun menggunakan Cloud Build. Untuk mengetahui detail selengkapnya, lihat batasan umum.

Untuk mengetahui informasi selengkapnya tentang Cloud Functions, baca dokumentasi produk.

Ketika Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang akan dibatasi. Tindakan ini termasuk mengelola peran IAM kustom, mengelola kumpulan workload identity, serta mengelola akun layanan dan kunci. Perimeter tidak membatasi tindakan kumpulan tenaga kerja karena kumpulan tenaga kerja merupakan resource tingkat organisasi.

Perimeter di sekeliling IAM tidak membatasi pengelolaan akses (yaitu, mendapatkan atau menetapkan kebijakan IAM) untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager, atau instance virtual machine Compute Engine. Untuk membatasi pengelolaan akses ke resource ini, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk mengetahui daftar resource yang menerima kebijakan IAM dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan IAM.

Selain itu, perimeter di sekeliling IAM tidak membatasi tindakan yang menggunakan API lain, termasuk yang berikut:

• API Policy Simulator IAM
• IAM Policy Troubleshooter API
• Security Token Service API
• Service Account Credentials API (termasuk metode signBlob dan signJwt lama di IAM API)

Untuk informasi selengkapnya tentang Identity and Access Management, lihat dokumentasi produk.

Jika berada di dalam perimeter, Anda tidak dapat memanggil metode roles.list dengan string kosong untuk mencantumkan peran bawaan IAM. Jika Anda perlu melihat peran bawaan, lihat dokumentasi peran IAM.

IAP Admin API memungkinkan pengguna mengonfigurasi IAP.

Untuk informasi selengkapnya tentang IAP Admin API , lihat dokumentasi produk.

Integrasi IAP Admin API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud KMS Inventory API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud KMS Inventory API, lihat dokumentasi produk.

Metode SearchProtectedResources API tidak menerapkan batasan perimeter layanan pada project yang ditampilkan.

API untuk Kredensial Akun Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Kredensial Akun Layanan, lihat dokumentasi produk.

Integrasi Kredensial Akun Layanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Service Metadata API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Service Metadata API, lihat dokumentasi produk.

Integrasi Service Metadata API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Akses VPC Serverless dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Akses VPC Serverless, baca dokumentasi produk.

Integrasi Akses VPC Serverless dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Cloud KMS API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan di dalam perimeter layanan. Akses ke layanan Cloud HSM juga dilindungi oleh Kontrol Layanan VPC dan dapat digunakan di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Key Management Service, lihat dokumentasi produk.

Integrasi Cloud Key Management Service dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Server Game dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Server Game, lihat dokumentasi produk.

Integrasi Server Game dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Gemini untuk Kode dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Gemini untuk Kode, baca dokumentasi produk.

Kontrol akses berdasarkan perangkat, alamat IP publik, atau lokasi tidak didukung untuk Gemini di Konsol Google Cloud.

API untuk Identity-Aware Proxy untuk TCP dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Identity-Aware Proxy untuk TCP, lihat dokumentasi produk.

API untuk Cloud Life Sciences dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Cloud Life Sciences, baca dokumentasi produk.

Integrasi Cloud Life Sciences dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Konfigurasi tambahan diperlukan untuk:

• Akses lokal ke Microsoft AD API Terkelola
• VPC Bersama

Untuk informasi selengkapnya tentang Layanan Terkelola untuk Microsoft Active Directory, lihat dokumentasi produk.

Integrasi Layanan Terkelola untuk Microsoft Active Directory dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk reCAPTCHA Enterprise dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang reCAPTCHA Enterprise, lihat dokumentasi produk.

Integrasi reCAPTCHA Enterprise dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Web Risk dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Web Risk, lihat dokumentasi produk.

Evaluate API dan Submission API tidak didukung oleh Kontrol Layanan VPC.

API untuk Pemberi Rekomendasi dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Pemberi Rekomendasi, lihat dokumentasi produk.

• Kontrol Layanan VPC tidak mendukung resource organisasi, folder, atau akun penagihan.

API untuk Secret Manager dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Secret Manager, lihat dokumentasi produk.

Integrasi Secret Manager dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Perlindungan Kontrol Layanan VPC berlaku untuk semua operasi administrator, operasi penayang, dan operasi pelanggan (kecuali untuk langganan push yang sudah ada).

Untuk informasi lebih lanjut tentang Pub/Sub, lihat dokumentasi produk.

Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:

• Langganan push baru tidak dapat dibuat kecuali jika endpoint push ditetapkan ke layanan Cloud Run dengan URL run.app default atau eksekusi Workflows (domain kustom tidak berfungsi). Untuk mengetahui informasi lebih lanjut tentang integrasi dengan Cloud Run, lihat Menggunakan Kontrol Layanan VPC.
• Untuk langganan non-push, Anda harus membuat langganan di perimeter yang sama dengan topik atau mengaktifkan aturan keluar untuk mengizinkan akses dari topik ke langganan.
• Saat mengarahkan peristiwa melalui Eventarc ke target Workflows yang endpoint push-nya disetel ke eksekusi Workflows, Anda hanya dapat membuat langganan push baru melalui Eventarc.
• Langganan Pub/Sub yang dibuat sebelum perimeter layanan tidak diblokir.

Perlindungan Kontrol Layanan VPC berlaku untuk semua operasi pelanggan.

Untuk informasi selengkapnya tentang Pub/Sub Lite, lihat dokumentasi produk.

Integrasi Pub/Sub Lite dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Gunakan Kontrol Layanan VPC dengan pool pribadi Cloud Build untuk memberikan keamanan tambahan pada build Anda.

Untuk informasi lebih lanjut tentang Cloud Build, lihat dokumentasi produk.

• Perlindungan Kontrol Layanan VPC hanya tersedia untuk build yang dijalankan di kumpulan pribadi.

• Pemicu Cloud Build Pub/Sub tidak didukung.

API untuk Cloud Deploy dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Deploy, lihat dokumentasi produk.

Untuk menggunakan Cloud Deploy dalam perimeter, Anda harus menggunakan gabungan pribadi Cloud Build untuk lingkungan eksekusi target. Jangan gunakan kumpulan pekerja default (Cloud Build), dan jangan gunakan kumpulan hybrid.

Mengonfigurasi Composer untuk digunakan dengan Kontrol Layanan VPC

Untuk informasi selengkapnya tentang Cloud Composer, lihat dokumentasi produk.

• Mengaktifkan serialisasi DAG akan mencegah Airflow menampilkan template yang dirender dengan fungsi di UI web.

• Menyetel tanda async_dagbag_loader ke True tidak didukung saat serialisasi DAG diaktifkan.

• Mengaktifkan serialisasi DAG akan menonaktifkan semua plugin server web Airflow, karena plugin tersebut dapat mempertaruhkan keamanan jaringan VPC tempat Cloud Composer di-deploy. Hal ini tidak memengaruhi perilaku plugin penjadwal atau pekerja, termasuk operator dan sensor Airflow.

• Saat Cloud Composer berjalan di dalam perimeter, akses ke repositori PyPI publik dibatasi. Dalam dokumentasi Cloud Composer, lihat Menginstal dependensi Python untuk mempelajari cara menginstal modul PyPi dalam mode IP Pribadi.

API untuk Kuota Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Kuota Cloud, lihat dokumentasi produk.

Karena Kontrol Layanan VPC menerapkan batas di level project, permintaan Kuota Cloud yang berasal dari klien di dalam perimeter hanya dapat mengakses resource organisasi jika organisasi menyiapkan aturan keluar. Untuk menyiapkan aturan keluar, lihat petunjuk Kontrol Layanan VPC untuk mengonfigurasi kebijakan traffic masuk dan keluar.

Untuk informasi lebih lanjut tentang Cloud Run, baca dokumentasi produk.

• Pembuatan tugas Cloud Scheduler
• Update tugas Cloud Scheduler

Untuk mengetahui informasi selengkapnya tentang Cloud Scheduler, lihat dokumentasi produk.

API untuk Spanner dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Spanner, lihat dokumentasi produk.

Integrasi Spanner dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk ID Pembicara dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang ID Pembicara, lihat dokumentasi produk.

Integrasi ID Pembicara dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Storage dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Storage, lihat dokumentasi produk.

API untuk Cloud Tasks dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Permintaan HTTP dari eksekusi Cloud Tasks didukung sebagai berikut:

• Permintaan yang telah diautentikasi ke endpoint Cloud Functions dan Cloud Run yang mematuhi Kontrol Layanan VPC diizinkan.
• Permintaan ke endpoint non-Cloud Functions dan non-Cloud Run diblokir.
• Permintaan ke endpoint Cloud Functions dan Cloud Run yang tidak mematuhi Kontrol Layanan VPC akan diblokir.

Untuk informasi lebih lanjut tentang Cloud Tasks, baca dokumentasi produk.

Perimeter Kontrol Layanan VPC melindungi Cloud SQL Admin API.

Untuk informasi lebih lanjut tentang Cloud SQL, baca dokumentasi produk.

• Perimeter layanan hanya melindungi Cloud SQL Admin API. Metode ini tidak melindungi akses data berbasis IP ke instance Cloud SQL. Anda harus menggunakan batasan kebijakan organisasi untuk membatasi akses IP publik pada instance Cloud SQL.
• Sebelum mengonfigurasi Kontrol Layanan VPC untuk Cloud SQL, aktifkan Service Networking API.

• Impor dan ekspor Cloud SQL hanya dapat melakukan pembacaan dan penulisan dari bucket Cloud Storage dalam perimeter layanan yang sama dengan instance replika Cloud SQL.

• Dalam alur migrasi server eksternal, Anda harus menambahkan bucket Cloud Storage ke perimeter layanan yang sama.
• Dalam alur pembuatan kunci untuk CMEK, Anda harus membuat kunci dalam perimeter layanan yang sama dengan resource yang menggunakannya.
• Saat memulihkan instance dari cadangan, instance target harus berada dalam perimeter layanan yang sama dengan cadangan.

API untuk Video Intelligence API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Video Intelligence API, lihat dokumentasi produk.

Integrasi Video Intelligence API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Vision API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Vision API, lihat dokumentasi produk.

Untuk menggunakan Artifact Analysis dengan Kontrol Layanan VPC, Anda mungkin harus menambahkan layanan lain ke perimeter VPC:

• Jika Anda menggunakan notifikasi Pub/Sub dengan Artifact Analysis, tambahkan Pub/Sub ke perimeter layanan Anda.
• Jika Anda menggunakan Container Scanning API, tambahkan registry Anda ke perimeter: Artifact Registry atau Container Registry.

Karena Container Scanning API adalah API tanpa permukaan yang menyimpan hasil di Artifact Analysis, Anda tidak perlu melindungi API dengan perimeter layanan.

Untuk informasi selengkapnya tentang Analisis Artefak, lihat dokumentasi produk.

Integrasi Artifact Analysis dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Selain melindungi Container Registry API, Container Registry dapat digunakan di dalam perimeter layanan dengan GKE dan Compute Engine.

Untuk informasi lebih lanjut tentang Container Registry, lihat dokumentasi produk.

• Saat menentukan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai jenis identitas untuk semua operasi Container Registry.

  Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.

• Karena Container Registry menggunakan domain gcr.io, Anda harus mengonfigurasi DNS untuk *.gcr.io agar dipetakan ke private.googleapis.com atau restricted.googleapis.com. Untuk informasi lebih lanjut, lihat Mengamankan Container Registry dalam perimeter layanan.

• Selain container di dalam perimeter yang tersedia untuk Container Registry, repositori hanya baca berikut ini tersedia untuk semua project, terlepas dari batasan yang diterapkan oleh perimeter layanan:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  Dalam semua kasus, versi multi-regional dari repositori ini juga tersedia.

API untuk Google Kubernetes Engine dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Google Kubernetes Engine, lihat dokumentasi produk.

• Hanya cluster pribadi yang dapat dilindungi menggunakan Kontrol Layanan VPC. Cluster dengan alamat IP publik tidak didukung oleh Kontrol Layanan VPC.

• Penskalaan otomatis berfungsi secara terpisah dari GKE. Karena Kontrol Layanan VPC tidak mendukung autoscaling.googleapis.com, penskalaan otomatis tidak berfungsi. Saat menggunakan GKE, Anda dapat mengabaikan pelanggaran SERVICE_NOT_ALLOWED_FROM_VPC dalam log audit yang disebabkan oleh layanan autoscaling.googleapis.com.

API untuk Container Security API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Container Security API, lihat dokumentasi produk.

Integrasi Container Security API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Streaming image adalah fitur streaming data GKE yang mempercepat waktu pull container ke image yang disimpan di Artifact Registry. Jika Kontrol Layanan VPC melindungi image container dan Anda menggunakan Streaming image, Anda juga harus menyertakan Image streaming API di perimeter layanan.

Untuk informasi selengkapnya tentang Streaming gambar, lihat dokumentasi produk.

• Repositori hanya-baca berikut tersedia untuk semua project terlepas dari batasan yang diterapkan oleh perimeter layanan:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

API pengelolaan fleet, termasuk gateway Connect, dapat dilindungi dengan Kontrol Layanan VPC, dan fitur pengelolaan fleet dapat digunakan secara normal di dalam perimeter layanan. Untuk informasi selengkapnya, lihat referensi berikut:

• Menggunakan Kontrol Layanan VPC dengan Connect Agent
• Menggunakan Kontrol Layanan VPC dengan gateway Connect

Untuk informasi selengkapnya tentang Armada, lihat dokumentasi produk.

• Meskipun semua fitur pengelolaan fleet dapat digunakan secara normal, pengaktifan perimeter layanan di sekitar Stackdriver API akan membatasi integrasi fitur fleet Pengontrol Kebijakan dengan Security Command Center.

Metode Cloud Resource Manager API berikut dapat dilindungi oleh Kontrol Layanan VPC:

• v1 project.setIAMPolicy
• project.setIAMPolicy v1beta1
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Untuk informasi selengkapnya tentang Resource Manager, lihat dokumentasi produk.

• Hanya kunci tag yang induk langsung oleh resource project dan nilai tag terkait yang dapat dilindungi menggunakan Kontrol Layanan VPC. Saat project ditambahkan ke perimeter Kontrol Layanan VPC, semua kunci tag dan nilai tag yang sesuai pada project akan dianggap sebagai resource dalam perimeter.
• Kunci tag yang diinduki oleh resource organisasi dan nilai tag yang terkait tidak dapat disertakan dalam perimeter Kontrol Layanan VPC dan tidak dapat dilindungi menggunakan Kontrol Layanan VPC.
• Klien di dalam perimeter Kontrol Layanan VPC tidak dapat mengakses kunci tag dan nilai terkait yang diinduki oleh resource organisasi, kecuali jika aturan keluar yang mengizinkan akses ditetapkan di perimeter. Untuk mengetahui informasi selengkapnya tentang cara menetapkan aturan traffic keluar, lihat Aturan traffic masuk dan keluar.
• Binding tag dianggap sebagai resource dalam perimeter yang sama dengan resource tempat nilai tag terikat. Misalnya, binding tag pada instance Compute Engine dalam sebuah project dianggap sebagai bagian dari project tersebut, di mana pun kunci tag ditetapkan.
• Beberapa layanan seperti Compute Engine memungkinkan membuat binding tag menggunakan API layanannya sendiri, selain API layanan Resource Manager. Misalnya, menambahkan tag ke VM Compute Engine selama pembuatan resource. Untuk melindungi binding tag yang dibuat atau dihapus menggunakan API layanan ini, tambahkan layanan yang sesuai, seperti compute.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
• Tag mendukung pembatasan tingkat metode, sehingga Anda dapat menentukan cakupan method_selectors ke metode API tertentu. Untuk daftar metode yang dapat dibatasi, lihat Pembatasan metode layanan yang didukung.
• Pemberian peran pemilik pada sebuah project melalui Konsol Google Cloud kini didukung oleh Kontrol Layanan VPC. Anda tidak dapat mengirim undangan pemilik atau menerima undangan di luar perimeter layanan. Jika mencoba menerima undangan dari luar perimeter, Anda tidak akan diberi peran pemilik dan tidak akan ada pesan peringatan atau error yang ditampilkan.

API untuk Cloud Logging dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Logging, lihat dokumentasi produk.

API untuk Certificate Manager dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Certificate Manager, lihat dokumentasi produk.

Integrasi Certificate Manager dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Monitoring dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Monitoring, lihat dokumentasi produk.

API untuk Cloud Profiler dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Profiler, lihat dokumentasi produk.

Integrasi Cloud Profiler dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Timeseries Insights API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Timeseries Insights API, lihat dokumentasi produk.

Integrasi Timeseries Insights API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Trace dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Trace, lihat dokumentasi produk.

Integrasi Cloud Trace dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud TPU dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud TPU, lihat dokumentasi produk.

Integrasi Cloud TPU dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk informasi selengkapnya tentang Natural Language API, lihat dokumentasi produk.

Karena Natural Language API adalah API stateless dan tidak berjalan pada project, penggunaan Kontrol Layanan VPC untuk melindungi Natural Language API tidak akan memberikan dampak apa pun.

API untuk Network Connectivity Center dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Network Connectivity Center, lihat dokumentasi produk.

Integrasi Network Connectivity Center dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Asset API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Asset API, lihat dokumentasi produk.

• Kontrol Layanan VPC tidak mendukung akses ke resource Cloud Asset API tingkat folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC melindungi resource Cloud Asset API level project. Anda dapat menentukan kebijakan keluar untuk mencegah akses ke resource Cloud Asset API level project dari project di dalam perimeter.
• Kontrol Layanan VPC tidak mendukung penambahan resource Cloud Asset API tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Cloud Asset API level folder atau level organisasi. Untuk mengelola izin Inventaris Aset Cloud di tingkat folder atau organisasi, sebaiknya gunakan IAM.
• Anda tidak dapat mengekspor aset di tingkat folder atau organisasi ke tujuan di dalam perimeter layanan.
• Anda tidak dapat membuat feed real-time untuk aset di tingkat folder atau organisasi dengan topik Pub/Sub di dalam perimeter layanan.

API untuk Speech-to-Text dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Speech-to-Text, lihat dokumentasi produk.

Integrasi Speech-to-Text dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Text-to-Speech dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Text-to-Speech, lihat dokumentasi produk.

Integrasi Text-to-Speech dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API for Translation dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Translation, lihat dokumentasi produk.

Cloud Translation - Advanced (v3) mendukung Kontrol Layanan VPC, tetapi tidak mendukung Cloud Translation - Basic (v2). Untuk menerapkan Kontrol Layanan VPC, Anda harus menggunakan Cloud Translation - Advanced (v3). Untuk mengetahui informasi selengkapnya tentang berbagai edisi, lihat Membandingkan Basic dan Advanced.

Gunakan Kontrol Layanan VPC dengan Live Stream API untuk mengamankan pipeline Anda.

Untuk informasi selengkapnya tentang Live Stream API, lihat dokumentasi produk.

Untuk melindungi endpoint input dengan perimeter layanan, Anda harus mengikuti petunjuk untuk menyiapkan kumpulan pribadi dan mengirim streaming video input melalui koneksi pribadi.

API untuk Transcoder API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Transcoder API, lihat dokumentasi produk.

Integrasi Transcoder API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Video Stitcher API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Video Stitcher API, lihat dokumentasi produk.

Integrasi Video Stitcher API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Access Approval dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Persetujuan Akses, lihat dokumentasi produk.

Integrasi Access Approval dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Cloud Healthcare API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud Healthcare API, lihat dokumentasi produk.

Integrasi Cloud Healthcare API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Sebaiknya tempatkan project Storage Transfer Service Anda dalam perimeter layanan yang sama dengan resource Cloud Storage Anda. Tindakan ini melindungi transfer dan resource Cloud Storage Anda. Storage Transfer Service juga mendukung skenario saat project Storage Transfer Service tidak berada dalam perimeter yang sama dengan bucket Cloud Storage Anda, dengan menggunakan kebijakan keluar.

Untuk informasi penyiapan, lihat Menggunakan Storage Transfer Service dengan Kontrol Layanan VPC

Transfer Service for On Premises Data

Lihat Menggunakan Transfer untuk Lokal dengan Kontrol Layanan VPC guna mengetahui detail dan informasi penyiapan untuk Transfer untuk lokal.

Untuk informasi selengkapnya tentang Storage Transfer Service, lihat dokumentasi produk.

API untuk Kontrol Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Kontrol Layanan, lihat dokumentasi produk.

• Saat Anda memanggil Service Control API dari jaringan VPC dalam perimeter layanan dengan Kontrol Layanan yang dibatasi untuk melaporkan metrik penagihan atau analisis, Anda hanya dapat menggunakan metode Service Control API guna melaporkan metrik untuk layanan yang didukung Kontrol Layanan VPC.

API untuk Memorystore for Redis dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi lebih lanjut tentang Memorystore for Redis, lihat dokumentasi produk.

• Perimeter layanan hanya melindungi Memorystore for Redis API. Perimeter tidak melindungi akses data normal pada instance Memorystore for Redis dalam jaringan yang sama.

• Jika Cloud Storage API juga terlindungi, operasi impor dan ekspor Memorystore for Redis hanya dapat membaca dan menulis ke bucket Cloud Storage dalam perimeter layanan yang sama dengan instance Memorystore for Redis.

• Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Redis di dalam perimeter yang sama agar permintaan Redis berhasil. Kapan pun, memisahkan project host dan project layanan dengan perimeter dapat menyebabkan kegagalan instance Redis, selain permintaan yang diblokir. Untuk mengetahui informasi selengkapnya, lihat persyaratan konfigurasi Memorystore for Redis.

API untuk Memorystore for Memcached dapat dilindungi oleh Kontrol Layanan VPC dan produk ini dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Memorystore for Memcached, lihat dokumentasi produk.

• Perimeter layanan hanya melindungi Memorystore for Memcached API. Perimeter tidak melindungi akses data normal pada instance Memorystore for Memcached dalam jaringan yang sama.

API untuk Direktori Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Direktori Layanan, lihat dokumentasi produk.

Integrasi Direktori Layanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk sepenuhnya melindungi Visual Inspection AI, sertakan semua API berikut di perimeter Anda:

• Visual Inspection AI API (visualinspection.googleapis.com)
• Vertex AI API (aiplatform.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Artifact Registry API (artifactregistry.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)

Untuk mengetahui informasi selengkapnya tentang Visual Inspection AI, baca dokumentasi produk.

Integrasi Visual Inspection AI dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Transfer Appliance didukung penuh untuk project yang menggunakan Kontrol Layanan VPC.

Transfer Appliance tidak menawarkan API, sehingga tidak mendukung fitur terkait API dalam Kontrol Layanan VPC.

Untuk informasi selengkapnya tentang Transfer Appliance, lihat dokumentasi produk.

• Jika Cloud Storage dilindungi oleh Kontrol Layanan VPC, kunci Cloud KMS yang Anda bagikan kepada Tim Transfer Appliance harus berada dalam project yang sama dengan bucket Cloud Storage tujuan.

API untuk Layanan Kebijakan Organisasi dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Layanan Kebijakan Organisasi, lihat dokumentasi produk.

Kontrol Layanan VPC tidak mendukung batasan akses ke kebijakan organisasi level folder atau level organisasi yang diwarisi oleh project. Kontrol Layanan VPC melindungi resource Organization Policy Service API level project.

Misalnya, jika aturan masuk membatasi pengguna agar tidak mengakses Organization Policy Service API, pengguna tersebut akan mendapatkan error 403 saat membuat kueri untuk kebijakan organisasi yang diterapkan pada project. Namun, pengguna tetap dapat mengakses kebijakan organisasi dari folder dan organisasi yang berisi project.

Anda dapat memanggil OS Login API dari dalam perimeter Kontrol Layanan VPC. Untuk mengelola Login OS dari dalam perimeter Kontrol Layanan VPC, siapkan Login OS.

Koneksi SSH ke instance VM tidak dilindungi oleh Kontrol Layanan VPC.

Untuk informasi selengkapnya tentang Login OS, lihat dokumentasi produk.

Metode Login OS untuk membaca dan menulis kunci SSH tidak menerapkan perimeter Kontrol Layanan VPC. Gunakan layanan yang dapat diakses VPC untuk menonaktifkan akses ke OS Login API.

API untuk Personalized Service Health dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Personalized Service Health, lihat dokumentasi produk.

Kontrol Layanan VPC tidak mendukung resource OrganizationEvents dan OrganizationImpacts dari Service Health API. Oleh karena itu, pemeriksaan kebijakan Kontrol Layanan VPC tidak akan terjadi saat Anda memanggil metode untuk resource ini. Namun, Anda dapat memanggil metode dari perimeter layanan menggunakan VIP terbatas.

Anda dapat memanggil OS Config API dari dalam perimeter Kontrol Layanan VPC. Untuk menggunakan VM Manager dari dalam perimeter Kontrol Layanan VPC, siapkan VM Manager.

Untuk informasi selengkapnya tentang VM Manager, baca dokumentasi produk.

Workflows adalah platform orkestrasi yang dapat menggabungkan layanan Google Cloud dan API berbasis HTTP untuk menjalankan layanan sesuai urutan yang Anda tetapkan.

Jika Anda melindungi Workflows API menggunakan perimeter layanan, Workflow Executions API juga akan terlindungi. Anda tidak perlu menambahkan workflowexecutions.googleapis.com secara terpisah ke daftar layanan terlindungi perimeter Anda.

Permintaan HTTP dari eksekusi Workflows didukung sebagai berikut:

• Permintaan yang telah diautentikasi ke endpoint Google Cloud yang mematuhi Kontrol Layanan VPC diizinkan.
• Permintaan ke endpoint layanan Cloud Functions dan Cloud Run diizinkan.
• Permintaan ke endpoint pihak ketiga diblokir.
• Permintaan ke endpoint Google Cloud yang tidak mematuhi Kontrol Layanan VPC akan diblokir.

Untuk informasi selengkapnya tentang Workflows, lihat dokumentasi produk.

Integrasi Workflows dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Filestore dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Filestore, lihat dokumentasi produk.

• Perimeter layanan hanya melindungi Filestore API. Perimeter tidak melindungi akses data NFS normal pada instance Filestore dalam jaringan yang sama.

• Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Filestore di dalam perimeter yang sama untuk instance Filestore agar berfungsi dengan benar. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan mungkin tidak akan membuat instance baru.

Untuk mengetahui informasi selengkapnya tentang Parallelstore, lihat dokumentasi produk.

• Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Parallelstore di dalam perimeter yang sama agar instance Parallelstore berfungsi dengan benar. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan mungkin tidak akan membuat instance baru.

API untuk Container Threat Detection dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Container Threat Detection, baca dokumentasi produk.

Integrasi Container Threat Detection dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk informasi selengkapnya tentang Ads Data Hub, lihat dokumentasi produk.

API untuk Traffic Director dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Traffic Director, lihat dokumentasi produk.

Integrasi Traffic Director dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Kontrol Layanan VPC hanya membatasi pertukaran token jika audience yang diminta adalah resource level project. Misalnya, permintaan ini tidak membatasi permintaan untuk token terbatas, karena permintaan tersebut tidak memiliki audiens. Hal ini juga tidak membatasi permintaan untuk penggabungan identitas tenaga kerja karena audiens adalah resource tingkat organisasi.

Untuk informasi selengkapnya tentang Layanan Token Keamanan, lihat dokumentasi produk.

Integrasi Layanan Token Keamanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Layanan firestore.googleapis.com, datastore.googleapis.com, dan firestorekeyvisualizer.googleapis.com dipaketkan menjadi satu. Jika Anda membatasi layanan firestore.googleapis.com dalam sebuah perimeter, perimeter juga akan membatasi layanan datastore.googleapis.com dan firestorekeyvisualizer.googleapis.com.

Untuk membatasi layanan datastore.googleapis.com, gunakan nama layanan firestore.googleapis.com.

Untuk mendapatkan perlindungan keluar sepenuhnya pada operasi impor dan ekspor, Anda harus menggunakan agen layanan Firestore. Lihat informasi selengkapnya di sini:

• Mengamankan operasi impor dan ekspor Firestore dengan Kontrol Layanan VPC.
• Mengamankan operasi impor dan ekspor Datastore dengan Kontrol Layanan VPC.

Untuk mengetahui informasi selengkapnya tentang Firestore/Datastore, lihat dokumentasi produk.

API untuk Migrate to Virtual Machines dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Migrate to Virtual Machines, lihat dokumentasi produk.

• Untuk sepenuhnya melindungi Migrate to Virtual Machines, tambahkan semua API berikut ke perimeter layanan:

  • API Pub/Sub (pubsub.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  • Secret Manager API (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Untuk informasi selengkapnya, lihat dokumentasi Bermigrasi ke Mesin Virtual.

Kontrol Layanan VPC dapat Anda gunakan untuk melindungi data infrastruktur yang dikumpulkan dengan Migration Center dengan perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Migration Center, lihat dokumentasi produk.

API untuk Layanan Pencadangan dan DR dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Layanan Pencadangan dan DR, lihat dokumentasi produk.

Jika rute default internet dihapus dari project produsen layanan menggunakan perintah gcloud services vpc-peerings enable-vpc-service-controls, Anda mungkin tidak dapat mengakses atau men-deploy konsol pengelolaan. Jika Anda mengalami masalah ini, hubungi Google Cloud Customer Care.

Anda dapat menggunakan Kontrol Layanan VPC guna melindungi pencadangan untuk GKE dan menggunakan pencadangan untuk fitur GKE biasanya di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Pencadangan untuk GKE, baca dokumentasi produk.

Integrasi Pencadangan untuk GKE dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Retail API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Retail API, lihat dokumentasi produk.

Integrasi Retail API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Application Integration adalah sistem pengelolaan alur kerja kolaboratif yang memungkinkan Anda membuat, meningkatkan, men-debug, dan memahami alur kerja sistem bisnis inti. Alur kerja pada Application Integration terdiri dari pemicu dan tugas. Ada beberapa jenis pemicu, seperti pemicu api/pemicu Pub/Sub/cron trigger/pemicu sfdc.

Untuk informasi selengkapnya tentang Application Integration, lihat dokumentasi produk.

API untuk Konektor Integrasi dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Integration Connectors, lihat dokumentasi produk.

API untuk Error Reporting dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Error Reporting, lihat dokumentasi produk.

API untuk Cloud Workstation dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Workstation, lihat dokumentasi produk.

• Untuk melindungi Cloud Workstation sepenuhnya, Anda harus membatasi Compute Engine API di perimeter layanan setiap kali Anda membatasi Cloud Workstations API.
• Pastikan Google Cloud Storage API, Google Container Registry API, dan Artifact Registry API dapat diakses VPC di perimeter layanan Anda. Diperlukan untuk menarik image ke workstation Anda. Kami juga merekomendasikan agar Anda mengizinkan Cloud Logging API dan Cloud Error Reporting API untuk menjadi VPC yang dapat diakses di perimeter layanan Anda, meskipun hal ini tidak diwajibkan untuk menggunakan Cloud Workstation.
• Pastikan cluster workstation Anda bersifat pribadi. Dengan mengonfigurasi cluster pribadi, koneksi ke workstation Anda akan dicegah dari luar perimeter layanan VPC Anda.
• Pastikan Anda menonaktifkan alamat IP publik di konfigurasi workstation. Jika hal ini tidak dilakukan, VM dengan alamat IP publik akan muncul di project Anda. Sebaiknya gunakan batasan kebijakan organisasi constraints/compute.vmExternalIpAccess guna menonaktifkan alamat IP publik untuk semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat Membatasi alamat IP eksternal ke VM tertentu.
• Saat terhubung ke workstation, kontrol akses hanya didasarkan pada apakah jaringan pribadi yang Anda hubungkan berada dalam perimeter keamanan. Kontrol akses berdasarkan perangkat, alamat IP publik, atau lokasi tidak didukung.

API untuk Cloud IDS dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Cloud IDS, lihat dokumentasi produk.

Cloud IDS menggunakan Cloud Logging untuk membuat log ancaman di project Anda. Jika Cloud Logging dibatasi oleh perimeter layanan, Kontrol Layanan VPC akan memblokir log ancaman Cloud IDS, meskipun Cloud IDS tidak ditambahkan sebagai layanan yang dibatasi ke perimeter tersebut. Untuk menggunakan Cloud IDS di dalam perimeter layanan, Anda harus mengonfigurasi aturan masuk untuk akun layanan Cloud Logging di perimeter layanan Anda.

Untuk informasi selengkapnya tentang BeyondCorp Enterprise, lihat dokumentasi produk.

Integrasi BeyondCorp Enterprise dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Jika Anda membatasi Policy Pemecah Masalah API dengan perimeter, akun utama dapat memecahkan masalah kebijakan izin IAM hanya jika semua resource yang terlibat dalam permintaan berada di perimeter yang sama. Biasanya ada dua resource yang terlibat dalam permintaan pemecahan masalah:

• Referensi akses yang Anda cari. Resource ini dapat berupa jenis apa pun. Anda menentukan resource ini secara eksplisit saat memecahkan masalah kebijakan izinkan.

• Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini berupa project, folder, atau organisasi. Di Konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

  Resource ini bisa sama dengan resource yang masalahnya ingin Anda pecahkan, tetapi tidak harus demikian.

Jika resource ini tidak berada di perimeter yang sama, permintaan akan gagal.

Untuk mengetahui informasi selengkapnya tentang Pemecah Masalah Kebijakan, baca dokumentasi produk.

Integrasi Pemecah Masalah Kebijakan dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Jika Anda membatasi Policy Simulator API dengan perimeter, akun utama dapat melakukan simulasi izinkan kebijakan hanya jika resource tertentu yang terlibat dalam simulasi berada dalam perimeter yang sama. Ada beberapa resource yang diperlukan dalam simulasi:

• Resource yang kebijakan izinnya sedang Anda simulasikan. Resource ini juga disebut resource target. Di konsol Google Cloud, ini adalah resource yang kebijakan izinnya Anda edit. Di gcloud CLI dan REST API, Anda menentukan resource ini secara eksplisit saat Anda menyimulasikan kebijakan izinkan.

• Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di Konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

  Resource ini bisa sama dengan resource yang Anda simulasikan aksesnya, tetapi tidak harus demikian.

• Resource yang menyediakan log akses untuk simulasi. Dalam simulasi, selalu ada satu resource yang menyediakan log akses untuk simulasi. Resource ini bervariasi, bergantung pada jenis resource target:

  • Jika Anda menyimulasikan kebijakan izin untuk project atau organisasi, Policy Simulator mengambil log akses untuk project atau organisasi tersebut.
  • Jika Anda menyimulasikan kebijakan izin untuk jenis resource yang berbeda, Policy Simulator akan mengambil log akses untuk organisasi atau project induk resource tersebut.
  • Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Policy Simulator akan mengambil log akses untuk organisasi atau project umum terdekat dari resource tersebut.
• Semua referensi yang didukung dengan kebijakan izin yang relevan. Saat menjalankan simulasi, Policy Simulator akan mempertimbangkan semua kebijakan izin yang dapat memengaruhi akses pengguna, termasuk kebijakan izinkan pada resource ancestor dan turunan resource target. Akibatnya, resource ancestor dan turunan ini juga terlibat dalam simulasi.

Jika resource target dan resource host tidak berada di perimeter yang sama, permintaan akan gagal.

Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada di perimeter yang sama, permintaan akan gagal.

Jika resource target dan beberapa resource yang didukung dengan kebijakan izin yang relevan tidak berada di perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk sebuah project di sebuah perimeter, hasilnya tidak akan mencakup kebijakan izinkan dari organisasi induk project karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan masuk dan keluar untuk perimeter.

Untuk informasi selengkapnya tentang Simulator Kebijakan, lihat dokumentasi produk.

Integrasi Policy Simulator dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Kontak Penting dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Kontak Penting, lihat dokumentasi produk.

Integrasi Kontak Penting dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Identity Platform dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Identity Platform, lihat dokumentasi produk.

• Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke perimeter layanan untuk memungkinkan refresh token. securetoken.googleapis.com tidak tercantum di halaman Kontrol Layanan VPC Google Cloud Console. Anda hanya dapat menambahkan layanan ini dengan perintah gcloud access-context-manager perimeters update.

• Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan Cloud Functions (cloudfunctions.googleapis.com) ke perimeter layanan.

• Penggunaan autentikasi multi-faktor (MFA) berbasis SMS, autentikasi email, atau penyedia identitas pihak ketiga menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.

API untuk GKE Multi-Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang GKE Multi-Cloud, lihat dokumentasi produk.

• Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke perimeter layanan untuk memungkinkan refresh token. securetoken.googleapis.com tidak tercantum di halaman Kontrol Layanan VPC Google Cloud Console. Anda hanya dapat menambahkan layanan ini dengan perintah gcloud access-context-manager perimeters update.

• Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan Cloud Functions (cloudfunctions.googleapis.com) ke perimeter layanan.

• Penggunaan autentikasi multi-faktor (MFA) berbasis SMS, autentikasi email, atau penyedia identitas pihak ketiga menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.

Anthos On-Prem API dapat dilindungi oleh Kontrol Layanan VPC, dan API tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Anthos On-Prem API, lihat dokumentasi produk.

• Untuk melindungi Anthos On-Prem API sepenuhnya, tambahkan semua API berikut ke perimeter layanan:

  • Cloud Monitoring API (monitoring.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  Perlu diperhatikan bahwa Kontrol Layanan VPC tidak melindungi dari ekspor log Cloud Logging pada tingkat folder atau organisasi.

Anda dapat membuat cluster di lingkungan Anda, yang terhubung ke VPC menggunakan Cloud Interconnect atau Cloud VPN.

Untuk informasi selengkapnya tentang Google Distributed Cloud Virtual untuk Bare Metal, lihat dokumentasi produk.

• Saat Anda membuat atau mengupgrade cluster menggunakan GDCV untuk Bare Metal, gunakan tanda --skip-api-check di bmctl untuk mengabaikan panggilan Service Usage API (serviceusage.googleapis.com), karena Service Usage API (serviceusage.googleapis.com) tidak didukung oleh Kontrol Layanan VPC. GDCV untuk Bare Metal memanggil Service Usage API untuk memvalidasi bahwa API yang diperlukan telah diaktifkan dalam suatu project; API ini tidak digunakan untuk memvalidasi keterjangkauan endpoint API.

• Guna melindungi GDCV untuk Bare Metal, gunakan Terbatas VIP di GDCV untuk Bare Metal, dan tambahkan semua API berikut ke perimeter layanan:

• Artifact Registry API (artifactregistry.googleapis.com)
• Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• Hubungkan Gateway API (connectgateway.googleapis.com)
• Google Container Registry API (containerregistry.googleapis.com)
• GKE Connect API (gkeconnect.googleapis.com)
• GKE Hub API (gkehub.googleapis.com)
• GKE On-Prem API (gkeonprem.googleapis.com)
• Cloud IAM API (iam.googleapis.com)
• Cloud Logging API (logging.googleapis.com)
• Cloud Monitoring API (monitoring.googleapis.com)
• Config Monitoring untuk Ops API (opsconfigmonitoring.googleapis.com)
• API Kontrol Layanan (servicecontrol.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

API untuk On-Demand Scanning API dapat dilindungi oleh Kontrol Layanan VPC dan produk ini dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang On-Demand Scanning API, lihat dokumentasi produk.

Integrasi On-Demand Scanning API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Looker (inti Google Cloud) dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Looker (inti Google Cloud), lihat dokumentasi produk.

• Hanya instance Looker (Google Cloud core) edisi Enterprise atau Embed yang menggunakan koneksi IP pribadi yang mendukung kepatuhan terhadap Kontrol Layanan VPC. Instance Looker (Google Cloud core) dengan koneksi IP publik atau koneksi IP publik dan pribadi tidak mendukung kepatuhan Kontrol Layanan VPC. Untuk membuat instance yang menggunakan koneksi IP pribadi, pilih Private IP di bagian Networking pada halaman Create instance di Konsol Google Cloud.

• Saat menempatkan atau membuat instance Looker (Google Cloud core) di dalam perimeter layanan Kontrol Layanan VPC, Anda harus menghapus rute default ke internet dengan memanggil metode services.enableVpcServiceControls atau dengan menjalankan perintah gcloud berikut:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

API for Public Certificate Authority dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Public Certificate Authority, lihat dokumentasi produk.

Integrasi Public Certificate Authority dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API for Storage Insights dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Storage Insights, lihat dokumentasi produk.

Integrasi Storage Insights dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Untuk melindungi sepenuhnya Pipeline Data Dataflow, sertakan semua API berikut dalam perimeter Anda:

• Dataflow API (dataflow.googleapis.com)
• Cloud Scheduler API (cloudscheduler.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)

Untuk mengetahui informasi selengkapnya tentang Pipeline Data Dataflow, lihat dokumentasi produk.

Integrasi Pipeline Data Dataflow dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Security Command Center dapat dilindungi oleh Kontrol Layanan VPC, dan Security Command Center dapat digunakan secara normal di dalam perimeter layanan.

Layanan securitycenter.googleapis.com dan securitycentermanagement.googleapis.com dipaketkan menjadi satu. Jika Anda membatasi layanan securitycenter.googleapis.com dalam sebuah perimeter, perimeter akan membatasi layanan securitycentermanagement.googleapis.com secara default. Anda tidak dapat menambahkan layanan securitycentermanagement.googleapis.com ke daftar layanan yang dibatasi dalam perimeter karena layanan tersebut dipaketkan dengan securitycenter.googleapis.com.

Untuk informasi selengkapnya tentang Security Command Center, lihat dokumentasi produk.

• Kontrol Layanan VPC tidak mendukung akses ke resource Security Command Center API tingkat folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC melindungi resource Security Command Center API level project. Anda dapat menentukan kebijakan keluar untuk mencegah akses ke resource Security Command Center API level project dari project di dalam perimeter.
• Kontrol Layanan VPC tidak mendukung penambahan resource Security Command Center API tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Security Command Center API level folder atau level organisasi. Untuk mengelola izin Security Command Center di tingkat folder atau organisasi, sebaiknya gunakan IAM.
• Kontrol Layanan VPC tidak mendukung layanan postur keamanan karena resource postur keamanan (seperti postur, deployment postur, dan template postur standar) merupakan resource tingkat organisasi.
• Anda tidak dapat mengekspor temuan di tingkat folder atau organisasi ke tujuan di dalam perimeter layanan.
• Anda harus mengaktifkan akses perimeter dalam skenario berikut:
  • Jika Anda mengaktifkan notifikasi penemuan di tingkat folder atau organisasi dan topik Pub/Sub berada di dalam perimeter layanan.
  • Saat Anda mengekspor data ke BigQuery dari tingkat folder atau organisasi dan BigQuery berada di dalam perimeter layanan.
  • Saat Anda mengintegrasikan Security Command Center dengan produk SIEM atau SOAR, dan produk tersebut di-deploy di dalam perimeter layanan di lingkungan Google Cloud. SIEM dan SOAR yang didukung mencakup Splunk dan IBM QRadar.

API untuk Cloud Customer Care dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi lebih lanjut tentang Cloud Customer Care, lihat dokumentasi produk.

API untuk Vertex AI Agent Builder - Vertex AI Search dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Vertex AI Agent Builder - Vertex AI Search, baca dokumentasi produk.

Integrasi Vertex AI Agent Builder - Vertex AI Search dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Confidential Space dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Confidential Space, lihat dokumentasi produk.

Agar dapat menggunakan perlindungan Kontrol Layanan VPC saat terhubung ke konsol serial untuk instance virtual machine (VM), Anda perlu menentukan aturan masuk untuk perimeter layanan. Saat menyiapkan aturan masuk, tingkat akses untuk sumber harus berupa nilai berbasis IP dan nama layanan ditetapkan ke ssh-serialport.googleapis.com. Aturan masuk diperlukan untuk mengakses konsol serial meskipun permintaan sumber dan resource target berada di perimeter yang sama.

Untuk informasi selengkapnya tentang Konsol serial, lihat dokumentasi produk.

Untuk informasi selengkapnya tentang Google Cloud VMware Engine, lihat dokumentasi produk.

Untuk mempelajari cara mengontrol akses ke Dataform dengan Kontrol Layanan VPC, lihat Mengonfigurasi Kontrol Layanan VPC untuk Dataform.

Untuk informasi selengkapnya tentang Dataform, lihat dokumentasi produk.

Web Security Scanner dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda. Tinjau persyaratan setiap produk untuk mengetahui detailnya.

Web Security Scanner mengirimkan temuan tersebut ke Security Command Center sesuai permintaan. Anda dapat melihat atau mendownload data ini dari dasbor Security Command Center.

Untuk informasi selengkapnya tentang Web Security Scanner, lihat dokumentasi produk.

Integrasi Web Security Scanner dengan Kontrol Layanan VPC tidak memiliki batasan umum.

• Anda perlu mengonfigurasi Certificate Authority Service dengan certificate authority yang berfungsi sebelum membuat instance Kontrol Layanan VPC Pengelola Sumber Aman.
• Anda perlu mengonfigurasi Private Service Connect sebelum mengakses instance Kontrol Layanan VPC Pengelola Sumber Aman.

Untuk informasi selengkapnya tentang Secure Source Manager, lihat dokumentasi produk.

• SERVICE_NOT_ALLOWED_FROM_VPC pelanggaran log audit yang disebabkan oleh batasan GKE dapat diabaikan.
• Untuk membuka antarmuka web Kontrol Layanan VPC dengan browser, browser memerlukan akses ke URL berikut:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Contoh, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

API untuk kunci API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang kunci API, lihat dokumentasi produk.

Integrasi kunci API dengan Kontrol Layanan VPC tidak memiliki batasan umum.

Cloud Controls Partner API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang konsol Partner di Kontrol Kedaulatan oleh Partner, lihat dokumentasi produk.

API untuk Microservice dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Microservice, lihat dokumentasi produk.

Integrasi Microservice dengan Kontrol Layanan VPC tidak memiliki batasan umum.

API untuk Earth Engine dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.

Untuk informasi selengkapnya tentang Earth Engine, lihat dokumentasi produk.

App Hub memungkinkan Anda menemukan dan mengelola resource infrastruktur ke dalam aplikasi. Anda dapat menggunakan perimeter Kontrol Layanan VPC untuk melindungi resource App Hub.

Untuk informasi selengkapnya tentang Pusat Aplikasi, lihat dokumentasi produk.

Cloud Code API dapat dilindungi oleh Kontrol Layanan VPC. Untuk menggunakan fitur yang didukung Gemini di Cloud Code, kebijakan masuk harus dikonfigurasi untuk mengizinkan traffic dari klien IDE. Lihat dokumentasi Gemini untuk mengetahui detailnya.

Untuk informasi lebih lanjut tentang Cloud Code, baca dokumentasi produk.

Integrasi Cloud Code dengan Kontrol Layanan VPC tidak memiliki batasan umum.